Dostawca jest teraz powierzchnią ataku
Przez dekadę zespoły bezpieczeństwa w przedsiębiorstwach koncentrowały się na obronie perymetralnej: zabezpieczaniu sieci, ochronie punktów końcowych, kontrolowaniu dostępu do systemów wewnętrznych. Model zagrożeń zakładał, że napastnicy będą próbowali przeniknąć do organizacji bezpośrednio.
Dane dotyczące naruszeń SaaS w 2024 roku pokazują, że ten model jest przestarzały. Naruszenia SaaS wzrosły o 300% w 2024 roku, według raportu o zagrożeniach bezpieczeństwa SaaS Obsidian Security na 2025 rok. Napastnicy nie celują już bezpośrednio w organizacje — celują w dostawców SaaS, którym te organizacje powierzają swoje dane.
Gdy Twój dostawca jest powierzchnią ataku, fakt, że Twoja własna sieć jest zabezpieczona, jest nieistotny. Dane klientów, rekordy pracowników i wrażliwe informacje biznesowe, które przetwarzasz za pośrednictwem tego dostawcy, znajdują się na ich infrastrukturze, dostępne za pomocą ich kluczy i narażone, gdy ich systemy zostaną skompromitowane.
Liczby dotyczące naruszeń SaaS w 2024 roku
Skala naruszeń SaaS w 2024 roku ilustruje narażenie:
Conduent doświadczył naruszenia, które ujawniło 25,9 miliona rekordów. Conduent świadczy usługi outsourcingu procesów biznesowych dla agencji rządowych i dużych przedsiębiorstw — w tym administrację świadczeń, przetwarzanie płatności i portale usług dla obywateli. 25,9 miliona rekordów obejmowało osoby, które miały kontakt z usługami rządowymi i nie miały pojęcia, że ich informacje były przechowywane przez dostawcę zewnętrznego.
NHS Digital doświadczył naruszenia, które dotknęło 9 milionów pacjentów. Naruszenie NHS ujawniło dane pacjentów przetwarzane przez infrastrukturę dostawcy SaaS — informacje kliniczne, które pacjenci przekazali swoim dostawcom usług zdrowotnych i nie mieli powodu, by sądzić, że zostały one przekazane na platformę zewnętrzną.
To nie są wyjątki. Reprezentują nową normę narażenia danych: naruszenia na dużą skalę, które dotykają milionów osób, które przekazały dane organizacjom, którym ufały, które przekazały je dostawcom, o istnieniu których te osoby nigdy nie miały pojęcia.
Dlaczego naruszenia SaaS są strukturalnie różne
Tradycyjne naruszenia sieci wymagają od napastników przeniknięcia do perymetru organizacji, nawigacji po systemach wewnętrznych i eksfiltracji danych — wieloetapowy proces z wieloma możliwościami wykrycia.
Naruszenia SaaS działają inaczej. Napastnicy, którzy kompromitują dostawcę SaaS, uzyskują dostęp do danych każdego klienta, który przetwarzał informacje za pośrednictwem tego dostawcy. Jedna kompromitacja przynosi rekordy klientów dziesiątek lub setek klientów korporacyjnych jednocześnie.
Okno naruszenia 9 minut — czas między początkowym dostępem a kompromitacją danych w środowiskach SaaS, według danych o reagowaniu na incydenty Obsidian Security — odzwierciedla tę różnicę strukturalną. Gdy napastnicy dostaną się do infrastruktury dostawcy, napotykają dane z wielu organizacji przechowywane w wspólnym środowisku. Powierzchnia ataku koncentruje wartość.
Dla organizacji, które podpisały umowy o przetwarzaniu danych zgodne z GDPR z ich dostawcami SaaS, naruszenie nie eliminuje odpowiedzialności za zgodność. Artykuł 82 GDPR przypisuje wspólną odpowiedzialność przetwarzającym dane za naruszenia wynikające z ich niezgodności z obowiązkami GDPR. Jednak wspólna odpowiedzialność wymaga udowodnienia, że dostawca był niezgodny — skomplikowane dochodzenie, które trwa miesiące, podczas gdy dane są już w rękach aktorów zagrożeń.
DPA nie chroni danych
Artykuł 28 GDPR wymaga od organizacji korzystania tylko z przetwarzających, którzy zapewniają "wystarczające gwarancje" w celu wdrożenia odpowiednich środków technicznych i organizacyjnych. Umowa o przetwarzaniu danych jest umownym dowodem tych gwarancji.
Podobnie jak BAA HIPAA, DPA dotyczy relacji umownej. Nie odnosi się do technicznej rzeczywistości tego, co dzieje się z Twoimi danymi na infrastrukturze dostawcy.
Dostawca SaaS działający na podstawie zgodnej z GDPR DPA może nadal:
- Przechowywać dane Twoich klientów, korzystając z szyfrowania po stronie serwera z kluczami kontrolowanymi przez dostawcę
- Przetwarzać informacje Twoich pracowników w środowisku wielo-użytkownikowym współdzielonym z innymi klientami
- Zachowywać logi danych, rekordy przetwarzania i zawartość w pamięci podręcznej poza celami określonymi w Twojej umowie
- Mieć swoją infrastrukturę skompromitowaną w sposób, który ujawnia wszystko powyższe
DPA tworzy zobowiązania. Nie tworzy technicznej bariery dla narażenia danych. Gdy napastnicy naruszają dostawcę w 9 minut, DPA nie spowalnia ich.
Wzrost o 300% to efekt selekcji
Wzrost o 300% w naruszeniach SaaS odzwierciedla dwa trendy działające jednocześnie.
Po pierwsze, całkowita objętość danych w platformach SaaS znacznie wzrosła w 2024 roku. W miarę jak więcej organizacji przenosiło więcej procesów do dostawców opartych na chmurze, dane dostępne w środowiskach dostawców wzrosły proporcjonalnie. Więcej danych na infrastrukturze dostawcy stwarza większą zachętę dla napastników do celowania w infrastrukturę dostawcy.
Po drugie, napastnicy dostosowali swoją metodologię do koncentracji wartości. Organizacje przetwarzają teraz więcej wrażliwych danych za pośrednictwem większej liczby dostawców SaaS niż kiedykolwiek wcześniej — rekordy klientów, transakcje finansowe, dane HR, dokumenty prawne, informacje zdrowotne. Dostawcy SaaS stali się celami o wysokiej wartości, ponieważ naruszenie jednego dostawcy przynosi dane z wielu organizacji.
Liczba 300% opisuje strukturalną zmianę w kierunku, w którym kierowane są ataki, a nie tylko wzrost ogólnej działalności przestępczej.
Architektura zero-knowledge jako łagodzenie ryzyka dostawcy
Zmiana koncepcyjna, jaką wymaga architektura zero-knowledge, jest prosta: jeśli Twój dostawca nie może być zaufany, aby przechowywać Twoje dane w sposób bezpieczny — nie z powodu jakiejkolwiek konkretnej awarii, ale dlatego, że każdy dostawca może zostać naruszony — to Twoje dane nigdy nie powinny dotrzeć do Twojego dostawcy w formie identyfikowalnej.
Anonymizacja zero-knowledge przed przesłaniem do dostawców SaaS zasadniczo zmienia narażenie na naruszenie. Gdy dostawca korzystający z danych przetworzonych w trybie zero-knowledge zostaje naruszony:
- Napastnicy uzyskują dostęp do zanonimizowanych rekordów bez odzyskiwalnych identyfikatorów klientów
- Nie jest wymagane powiadomienie podmiotu danych, ponieważ żadne dane osobowe nie zostały ujawnione
- Nie jest konieczne przeprowadzanie dochodzenia w sprawie wspólnej odpowiedzialności zgodnie z artykułem 82 GDPR
- Nie wynikają żadne dochodzenia regulacyjne z naruszenia
Naruszenie dotyczy dostawcy. Nie dotyczy danych Twoich klientów, ponieważ dane Twoich klientów nigdy nie były na serwerach dostawcy w formie odzyskiwalnej.
Wzrost o 300% w naruszeniach SaaS zmienia obliczenia ryzyka dostawcy. Organizacje, które oceniają dostawców wyłącznie na podstawie postawy bezpieczeństwa i zobowiązań umownych, ufają, że ich dostawca nie pojawi się w następnej statystyce naruszeń. Architektura zero-knowledge eliminuje tę zależność.
Źródła: